SCHIFF HARDIN & WAITE 

A Partnership Including Professional Corporations 

6600 Sears Tower, Chicago. Illinois 60606-6360 
Telephone (312) 258-6500 Facsimile (312) 258-5600 

Mark Bergner 
(312) 258-5779 

Enriail: mbergner@schiffhardin.com 



Patent Department Facsimile: (312) 258-5921 



December 1 , 2003 



Mail Stop Patent Application 
Commissioner for Patents 
P.O. Box 1450 

Alexandria, Virginia 22313-1450 

RE: Patent Application for Karlheinz Dorn et al Entitled "PROCEDURE 
FOR USER LOGIN TO DATA PROCESSING DEVICES" Claiming 
Priority From German 102 56 078.1 of November 29. 2002 and 
U.S. Provisional Application Serial No. 60/430,206 of December 2, 
2002. Our Case No. P02.0630-01. 



SIR: 

Under the provisions of 37 CFR 1.41(c), I am filing on behalf of the inventors, 
Karlheinz Dorn, Ivan Murphy, Thomas Pohley and Andreas Schueike, the attached patent 
application with one set of drawings containing 4 sheets with 5 Figures, an unsigned 
Declaration, a Certified Copy of German 102 56 078.1 of 29 November 2002 and a Certified 
Copy of Provisional Application 60/430.206 of December 2, 2002 (from which priority is 
claimed) and appropriate government filing fee. 

On behalf of the inventors. I hereby claim priority from German Application 
No. 102 56 078.1 of 29 November 2002 and U.S. Provisional Application No. 60/430,206 of 
December 2. 2002. 

I request that the application be assigned a Serial No. and Filing Date 
pursuant to the provisions of 37 CFR 1 .53(b) and 37 CFR 1 .53(f). 

Very sincerely, 

Mark Bergner 
(Reg. No. 45,877) 
SCHIFF HARDIN & WAITE 

MB/pav 



Chicago 
Washington 
New York 
Dublin 
Atlanta 



U.S. EXPRESS MAIL 
#EL843735598US 



Enclosures 



BUNDESREPUBLIK DEUTSCHLAND 




Prioritatsbescheinigung uber die Einreichung 
einer Patentanmeldung 



Aktenzeichen: 



102 56 078.1 



Anmeldetag: 

Anmelder/lnhaber: 

Bezeichnung: 



29. November 2002 



Siemens Aktiengesellschaft, Munchen/DE 



Verfahren zum Anmelden von Nutzern an Datenver- 
arbeitungseinrichtungen 



IPC: 



G 06 F 12/14 



Die angehefteten Stucke sind eine richtige und genaue Wiedergabe der ur- 
sprunglichen Unterlagen dieser Patentanmeldung. 



Munchen, den 4. November 2003 
Deutsches Patent- und Markenamt 
Der Prasident 

Im Auftrag 



200219500 



Beschreibung 

Verfahren zum Anmelden von Nutzern an Datenverarbeitungsein- 
richtungen 

5 

Die Erfindung betrifft ein Verfahren zum schnellen Anmelden 
von Nutzern an Datenverarbeitungseinrichtungen . 

Die Verarbeitung elektronischer Daten durch Datenverarbei- 
10 tungseinrichtungen in Arbeit sumgebungen mit sensiblen Daten 

erfordert einen wirksamen Schutz der Daten vor unberechtigten 
< > 2^ Zugriffen. Es muss jederzeit sichergestellt sein, dass eine 
^^Einsichtnahme oder VerSnderungen z.B. von elektronischen Pa- 
tientenakten oder Bildern aus digitalen diagnostischen Bild- 
15 gebungsverfahren ausschlieiSlich durch berechtigte Personen 
erfolgen kann. Dariiber hinaus miissen in medizinischen Ar- 
beit sumgebungen samtliche Zugrif fe auf die sensiblen Daten so 
protokolliert werden, dass jederzeit nachvollziehbar ist, 
welche Personen Datenzugrif f e welcher Art vorgenommen haben. 

20 

Bei herkommlichen Datentragern, wie etwa Patientenakten auf 
Papier oder diagnostischen Bildern auf Filmsystemen, ist eine 
Kontrolle des Datenzugrif fs durch Kontrolle des Verbleibs der 
Datentrager ohne weiteres moglich. Dahingegen sind elektroni- 
^^/ysche Daten ohne weiteres vielfach zugreifbar und statt des 
""^Kf Verbleibs der Daten miissen Zugrif fe darauf kontrolliert wer- 
den. Zu diesem Zweck miissen sich Nutzer von Datenverarbei- 
tungseinrichtungen fur sensible Daten, wie medizinischen Com- 
puter-Arbeitsplatzen, durch Eingabe von Nutzernamen und Pass- 
30 wortern oder durch biometrische Identif ikation, z.B. anhand 
des Fingerabdrucks, oder durch Chipkarten o.a. identifizie- 
ren, um durch die Datenverarbeitungseinrichtung authentifi- 
ziert werden zu konnen. Im Rahmen der Authentif izierung wird 
die Identitat des jeweiligen Nutzers zu Protokollierungszwe- 
35 cken festgestellt und der Daten- und Anwendungszugrif f im fiir 
den jeweiligen Nutzer vorgesehenen Umfang autorisiert. Aufier- 
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dem wird der Umfang der Zugrif f smoglichkeiten auf Hardware 
und Software festgelegt. 

Im klinischen Alltag arbeiten oft mehrere Personen, z.B. me- 
dizinisch-technische Assistentinnen Oder Arzte, abwechselnd 
an der gleichen Datenverarbeitungseinrichtung, z.B. einem 
Computer-Arbeitsplatz zur Befundung oder zur Erstellung dia- 
gnostischer Bilder. Um dem Anspruch rationeller und okonomi- 
scher Arbeitsablauf e gerecht zu werden, muss der Nutzerwech- 
sel moglichst schnell durchfiihrbar sein. Soil mit der glei- 
chen Datenverarbeitungseinrichtung oder den gleichen Patien- 
tendaten weitergearbeitet werden, mussen auch diese nach ei- 
nem Nutzerwechsel moglichst schnell wieder verfugbar sein. 

Bislang erfolgt die Authentif izierung eines Nutzers durch di 
Datenverarbeitungseinrichtung auf Betriebssystem-Ebene . Das 
sogenannte Login am Betriebs system wird beim Systemstart 
durch Eingabe eines Nutzernamens und eines Passworts identi- 
fiziert, und in Abhangigkeit von der Identif ikation werden 
durch das Betriebssystem Zugrif fsrechte fiir Daten, Hardware 
und Software zuerkannt . Diese Authentif izierung auf Ebene de 
Betriebssystems, z.B. Windows, weist den schwerwiegenden 
Nachteil auf, dass zum Nutzerwechsel der Zugriff auf samtli- 
che Patientendaten beendet werden, alle Anwendungen gestoppt 
und das Betriebssystem heruntergef ahren und wieder hochgefah 
ren werden muss. Diese Ablaufe sind auSerst zeitaufwandig . 
Dariiber hinaus steht dem nachsten Nutzer nicht der aktuelle 
Stand der Benutzeroberf ISche und der darin enthaltenen Pati- 
entendaten zur Verfugung, falls diese als temporare Informa- 
tionen beim Herunterfahren des Betriebssystems verloren ge- 
hen. 

Als Abhilfe wird bei der Authentif izierung auf Betriebssys- 
tem-Ebene daher bislang mit sogenannten Gruppen-Accounts ge- 
arbeitet, die durch Gruppen von Nutzern verwendet werden, die 
sSmtlich die gleichen Zugrif fsrechte erhalten sollen. Die Au- 
thentif izierung von Nutzern im Rahmen von Gruppen-Accounts 
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bringt jedoch den Nachteil mit sich, dass weder durch die Da- 
tenverarbeitungseinrichtung noch durch die darauf laufenden 
Anwendungs- Programme feststellbar ist, welcher Nutzer jeweils 
aktuell arbeitet. Da dies die Protokollierung der Datennut- 
zeraktionen unmoglich machen wurde, erfolgen Nutzerwechsel 
bei Benutzung von Gruppen-Accounts dadurch, dass die laufende 
Anwendung beendet und durch den neuen Nutzer neu gestartet 
werden muss. Temporare Daten der laufenden Anwendung gehen 
zwar auch beim Beenden der Anwendung statt des Betriebssys- 
tems verloren, der Zeitverlust ist jedoch gegentiber dem Neu- 
start des Betriebssystems geringer. 

Der unter Aspekten okonomischer Arbeitsweise nicht vertretba- 
re Zeitverlust fuhrt bislang haufig dazu, dass Nutzer an 
bildgebenden medizinischen Datenverarbeitungseinrichtungen 
nicht authentifiziert werden. Stattdessen erfolgen Identifi- 
kation und Autorisierung von Nutzem durch die rein physische 
Kontrolle des Zugriffs auf die bildgebende Einrichtung, d.h. 
durch eine simple Zugangskontrolle zu dem Raum in dem die 
Einrichtung steht. Insbesondere die Protokollierung von Da- 
tenzugriffen durch Nutzer ist an einer solchen Einrichtung 
nur indirekt moglich, in dem z.B. abgeglichen wird, welcher 
Nutzer zum Zeitpunkt eines Datenzugrif f s in dem Raum der Ein- 
richtung zugegen war. Diese Art der Protokollierung ist auf- 
wandig und langfristig nicht im Nachhinein rekonstruierbar . 

Die beschriebenen Nachteile treten vor allem in medizinischen 
Arbeit sumgebungen auf, wo bereits grundsatzlich unter groSem 
Zeitdruck gearbeitet wird, der sich in Notf allsituationen 
noch wesentlich verschSrfen kann. Sie wirken sich jedoch auch 
auf andere Datenverarbeitungseinrichtungen aus, die mit sen- 
siblen Daten arbeiten, z.B. im Finanzwesen, in Forschung und 
Entwicklung, im Versicherungswesen oder bei der Bearbeitung 
demograf ischer Fragen. 

Die Aufgabe der Erfindung besteht darin, ein Verfahren zum 
schnellen Anmelden von Nutzem an Datenverarbeitungseinrich- 
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tungen anzugeben, an denen sensible Daten verarbeitet werden 
und an denen daher die Authentif izierung des Nutzers erfor- 
derlich ist. Unter sensiblen Daten sollen dabei insbesondere 
personenbezogene Angaben zum gesundheitlichen oder finanziel- 
len Status oder in sonstigem Bezug zu Personlichkei tsrechten 
verstanden werden. 

Die Erfindung lost diese Aufgabe durch ein Verfahren mit den 
Verfahrensschritten des ersten Patentanspruchs . 

Ein Grundgedanke der Erfindung besteht darin, die Anmeldung 
von Nutzern an Datenverarbeitungseinrichtungen durch eine Au- 
thentif izierungs- Inst anz erfolgen zu lassen, die unabhangig 
vom Login an einem Betriebssystem oder einer laufenden Anwen- 
dung arbeitet. Unabhangig soli dabei so verstanden werden, 
dass die Anmeldung eines Nutzers nicht den Neustart des Be- 
triebssystems oder der Anwendung erforderlich macht, Unter 
Authentif izierung sollen dabei die Identif ikation einer Per- 
son und die Zuerkennung von Zugrif f srechten fur Daten, Soft- 
ware und Hardware fur diese Person verstanden werden. Die Au- 
thentif izierungs-Instanz ermoglicht den Wechsel des Nutzers, 
also eine Neu-Authentif izierung, bei laufendem Betriebssystem 
und laufender Anwendung oder Anwendungen. 

Dadurch kann ein Nutzerwechsel zum einen schnell durchgefiihrt 
werden, da der Zeitaufwand fiir das Beenden und Neustarten von 
Anwendung oder Betriebssystem eingespart wird. Zum anderen 
kann ein neuer Nutzer nach Nutzerwechsel samtlichen tempora- 
ren Daten, wie aktuell bearbeitete Patientendaten oder die 
aktuelle Konstellation der Anwendung oder Anwendungen weiter 
benutzen, da sie nicht durch einen Neustart verloren gehen. 
Weiter ist der Nutzerwechsel ausreichend schnell, urn insbe- 
sondere an Datenverarbeitungseinrichtungen eingesetzt werden 
zu konnen, an denen unter enormem Zeitdruck gearbeitet werden 
muss. Dadurch kann auch an solchen Einrichtungen eine standig 
aktuelle Nutzer-Identitat ermittelt werden, die z.B. zur 
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vollstandigen Protokollierung aller Zugriffe genutzt warden 
kann. 

In einer vorteilhaf ten Ausgestaltung der Erfindimg ermoglicht 
5 die Authentif izierungs-Instanz den Nutzerwechsel unter Beibe- 
haltung aller temporaren Daten, wie aktuell bearbeiteten Pa- 
tientendaten, aktuellen Anwendungseinstellungen oder Sichten, 
in Abhangigkeit von einer Eingabe eines Nutzers, der dies 
wiinscllt. Es wird also Daten und der gesamte Anwendungs- 
10 Kontext erhalten. Durch die Beibehaltung des aktuellen Status 
konnen verschiedene Nutzer an der gleichen Datenverarbei- 
tungseinrichtung die gleichen Daten in gleichbleibendem An- 
wendungs -Kontext in schnellem Wechsel bearbeiten. Gleichzei- 
tig ist durch die Neu-Authentif izierung bei Nutzerwechsel je- 
15 derzeit gewahrleistet , dass die abwechselnden Nutzer jeweils 
ausreichende Zugrif f srechte besitzen, urn mit den gleichen Da- 
ten arbeiten zu durfen. 

In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
20 werden samtliche Nutzeraktionen unter Angabe von Informatio- 
nen zu deren Identitat protokolliert , Die fur die Protokol- 
lierung zu verwendende Identitat wird dabei durch die Authen- 
tif izierungs-Instanz vorgegeben, die jeweils Identitat und 
Autorisierung gleichzeitig ermittelt. Dadurch kann gewahr- 
25 leistet werden, dass samtliche Datenzugrif f e unter Angabe ak- 
'^•'l tueller Nutzer-Identitaten der Protokollierung zugefuhrt wer- 
den, da durch die Authentif izierungs-Instanz Datenzugrif fe 
ohne Vorliegen einer Nutzer- Identitat nicht autorisiert wer- 
den. 

30 

In einer weiteren vorteilhaf ten Ausgestaltung ermoglicht die 
Authentif izierungs-Instanz den Nutzerwechsel mit gleichzeiti- 
ger Loschung des aktuellen Status der bearbeiteten Daten und 
der Benutzeroberflache, d.h. der aktuellen Bildschirm- 
35 Ansichten, Die Loschung erstreckt sich dabei ausschlielSlich 
auf temporare Daten wahrend dauerhaft gespeicherte Daten er- 
halten bleiben. Der Nutzerwechsel mit Loschung des aktuellen 
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Status erfolgt auf eine entsprechende Eingabe des aktuellen 
Nutzers hin. Er ermoglicht es dem Nutzer, sich von der Bear- 
beitung von Daten sowie von der laufenden Anwendung abzumel- 
den, ohne dass dafur die Anwendung oder gar das Betriebssys- 
5 tem beendet werden mussten. 

Dadurch kann ein Nutzer seine Arbeit an der Datenverarbei- 
tungseinrichtung beenden ohne dass der nachfolgende Nutzer 
die Anwendung oder gar das Betriebssystem neu starten miisste. 
Dies erspart dem nachf olgenden Nutzer den mit einem Neustart 
verbundenen Zeitaufwand, da er nach seiner Authentif izierung 
an der Einrichtung unmittelbar in der laufenden Anwendung 
weiterarbeiten kann, 

15 In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
wird der Nutzerwechsel bei Eintreten einer bestimmten Bedin- 
gung, z.B. nach Zeitablauf, analog zu einem Bildschirmschoner 
automatisch initiiert. Dabei werden ebenso wie bei einem 
Bildschirmschoner die aktuell dargestellten Anwendung s da ten 

20 temporar geloscht, also unkenntlich gemacht aber in der Ein- 
richtung beibehalten. Durch Ausfiihren einer Aktion an der Da- 
tenverarbeitungseinrichtung bei aktivierter Bildschirmscho- 
ner- Ins tanz, z.B. Tastendruck oder Mausbewegung, wird eine 
Abfrage zur aktuellen Authentif izierung des Nutzers ausge- 

25^^ lost. Wird durch die Authentif izierung f estgestellt , dass der 

' Nutzer nicht gewechselt hat, wird der vorige Status der Dar- 

stellung und der temporaren Datenstande wieder hergestellt 
und die Arbeit kann fortgesetzt werden. Wird in Abweichung 
davon f estgestellt , dass ein anderer Nutzer mit geringeren 

30 Zugrif f srechten an der Einrichtung arbeiten will, wird der 
vorherige Darstellungsstatus und temporare Datenstand ge- 
loscht Oder in seinem Inhalt um die nicht zugrif fsberechtig- 
ten Telle reduziert. Temporaren Anwendung s da ten gehen bei der 
Reduzierung verloren. Wird statt dessen f estgestellt , dass 

35 der neue Nutzer weitergehende Zugrif fsrechte besitzt, so kann 
je nach vorgebbaren Einstellungen entweder der vorherige An- 
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zeigestatus und Datenstand wieder hergestellt oder ebenfalls 
inhaltlich reduziert warden. 

Die Funktionalitat in Anlehnung an einen Bildschirmschoner 
erhoht die Sicherheit der Einrichtung im Umgang mit sensiblen 
Daten, da die Einrichtung z.B. in Fallen, in denen der Nutzer 
die Arbeit plotzlich und ohne vorherige Abmeldung beenden 
muss, Zugriffe automatisch sperrt und eine Neu- 
Authentif izierung verlangt . 



10 



In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
veranlasst die Authentif izierungs-Instanz bei fehlerhaften 
1^1^ Eingaben zur Identitat oder Passwort eines Nutzers automa- 
tisch eine Sperrung der Einrichtung auf Betriebssystem-Ebene, 
15 z.B. durch Herunterfahren des Betri ebssys terns . Dadurch wird 

die Sicherheit im Umgang mit den durch die Einrichtung verar- 
beiteten sensiblen Daten erhoht, da Fehleingaben durch nicht 
berechtigte Personen automatisch zu einem Zustand der Ein- 
richtung fiihren, das maximalen Zugrif f sschutz bietet. Insbe- 
20 sondere werden so Moglichkeiten zur Manipulation der Authen- 
tif izierungs-Instanz durch Schwachstellen, die vom Betriebs- 
system aus angreifbar waren, ausgeschlossen. Die Sperrung von 
Datenzugriffen auf Ebene des Betri ebssys terns bildet die 
hochste Barriere gegeniiber Manipulationsversuchen . 

25 

Nachfolgend werden Ausf iihrungsbeispiele der Erfindung anhand 
von Figuren naher erlautert. Es zeigen: 



30 



FIG 1 Systemarchitektur mit Authentif izierungs-Instanz , 
FIG 2 Authentifizierungs-Verfahren als Flussdiagramm. 



In FIG 1 ist eine Systemarchitektur zur Ausftihrung des erfun- 
denen Verfahrens schematisch dargestellt. Die Darstellung 
gibt lediglich die funktionalen Instanzen der Architektur 
35 wieder, ohne direkten Bezug auf einrichtungsmaSige ReprSsen- 
tationen dieser Instanzen, z.B. durch bestimmte Hardware- 
Komponenten, zu nehmen. 
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Dargestellt ist ein erstes Anwendungs-Programm 71 und ein 
zweites Anwendungs-Programm 73 zur Verarbeitung sensibler Da- 
ten. Bei den sensiblen Daten kann es sich z.B. urn medizini- 
sche Befunddaten, diagnostische Bilddaten, Inf ormationen zu 
Finanzen oder zu Versicherungen oder demographische Daten 
handeln. Die Daten sollen dadurch als sensibel charakteri- 
siert sein, dass sie, wenigstens teilweise, geheimhaltungsbe- 
diirftig sind und nur berechtigten Nutzern zuganglich sein 
sollen. 

Die Anwendungs- Programme 71,73 kSnnen z.B. Bildgebungspro- 
gramme in der medizinischen Diagnostik, Betrachtungsprograitime 
fur elektronische Patientendaten, Programme fiir finanzielle 
Transaktionen, statistische Auswertungen oder Buchhaltung 
sein. Durch die Anwendxings- Programme 71,73 kann ein Nutzer 
Daten einsehen, verandern, erzeugen oder loschen. Im Rahmen 
der Bearbeitung von Daten konnen aulSerdem andere Anwendungs- 
Programme gestartet oder die Anwendungs -Programme 71,73 been- 
det werden. Es spielt dabei keine Rolle, ob nur ein oder meh- 
rere Anwendungs -Programme 71, 73 gestartet werden. Wesentlich 
ist lediglich, dass sie uber eine gemeinsame Schnittstelle, 
wie sie in ahnlicher Weise von Bildschirmschoner-Schnitt- 
stellen bekannt ist, mit der unten beschriebenen Authentifi- 
zierungs-lnstanz 75 kommunizieren konnen. 

Die Anwendungs -Programme 71,73 sind durch eine Authentif izie- 
rungs-Instanz 75 abgesichert, die samtliche Zugriffe kontrol- 
liert. Die Authentif izierungs-Instanz 75 stellt die Identitat 
des Nutzers fest, indem entweder die Eingabe eines Nutzerna- 
mens und eines Passworts gefordert wird, oder indem auf eine 
biometrische Messeinrichtung, z.B. zur Ermittlung des Finger- 
abdrucks Oder der Irisgestalt oder auf einen Chip oder Tran- 
ponder, Lesgerat zugegriffen wird. 

In Abhangigkeit von der ermittelten Identitat ordnet die Au- 
thentif izierungsinstanz 75 dem Nutzer Zugrif f srechte fQr Da- 
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ten. Software und Hardware zu. Sie kann dabei viber alle 
Zugriffsrechte, die das Betriebssystem 79 ihr gewahrt, verfii 
gen; das Betriebssystem 79 gibt als den maximal moglichen Urn- 
fang an Zugriffsrechten vor. Dies schliefit den Zugriff auf 
Daten 87, Hardware 85 und Software 71,73 ein, so dass die Au- 
thentifizierungs-Instanz 75 die Benutzung aller Einrichtungs- 
Resourcen einschlieSlich der Anwendungs- Programme 71,73 frei- 
geben oder Sperren kann. 



10 

(') 



Insofern arbeitet die Authentif izierungs-Instanz 75 zwar in 
dem vom Betriebssystem 79 vorgegebenen Rahmen und nur dann, 
wenn auch das Betriebssystem 79 gestartet wurde. Innerhalb 
\J§., vorgegebenen Rahmens arbeitet sie jedoch unabhangig vom 

Betriebssystem 79 iind insbesondere unabhangig von einem Neu- 
15 Start des Betriebssystems 79 . Zugrif f e durch den Nutzer er- 
folgen ausschlieSlich iiber die Benutzeroberf lache 81, die 
durch die Authentif izierungs-Instanz 75 kontrolliert wird. 



20 



Die Authentifizierungs-Instanz 75 weist zwei Unterinstanzen 
auf, eine Bildschirmschoner-Instanz 76 und eine Instanz zum 
Nutzerwechsel 77. Die Bildschirmschoner-Instanz 76 sorgt ahn- 
lich bekannten Bildschirmschonern daftir, dass die Benutzer- 
oberf lache 81 bei Eintreten bestimmter Bedingungen, z.B. nach 
.^- j Zeitablauf, geloscht wird. Mit geloscht ist gemeint, dass die 

^^^^il^lich® Darstellung der Benutzeroberf lache 81 auf einem An- 
zeigegerat, z.B. einem Bildschirm, so verandert wird, dass 
keine geheimhaltungsbediirf tigen Daten mehr angezeigt werden, 
sie wird also inhaltlich reduziert bzw. neutralisiert . Damit 
soil verhindert werden, dass nach eiligem Verlassen der Ein- 
30 richtung ohne ordnungsgemSSe Abmeldung durch den vorhergehen- 
den Nutzer sensible Daten unkontrolliert einsehbar bleiben. 

Die Bildschirmschoner-Instanz 76 kann in Analogie zu bekann- 
ten Bildschirmschonern dadurch aktiviert werden, dass eine 
35 bestimmte Zeit ohne jedwede Nutzereingabe an der Einrichtung 
verstrichen ist. Zur ErhShung der Datensicherheit kann jedoch 
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auch vorgesehen sein, dass die Bildschirmschoner-instanz 76 
unabhangig von Nutzereingaben aktiviert wird. 

Urn die Bildschirmschoner-instanz 76 zu deaktivieren und zur 
ursprunglichen Benutzeroberf lache 81 zuriickzugelangen, muss 
sich der Nutzer erneut, wie oben beschrieben, identif izieren 
lassen. Die Darstellung der Benutzeroberf lache 81 nach der 
Deaktivierung hangt davon ab, ob der Nutzer inzwischen ge- 
wechselt hat und ggf . welchen Umfang die Rechte eines neuen 
Nutzers aufweisen. Sie kann je nachdem inhaltlich unverandert 
bleiben oder inhaltlich verSndert sein. 



20 



NJP?.; ^^^^ '^^i^ Nutzerwechsel statt und wurde lediglich der vorhe- 
rige Nutzer erneut authentif iziert , so steht nach Deaktivie- 
15 rung der Bildschirmschoner-instanz 76 die Benutzeroberf ISche 
81 in exakt dem Zustand wieder zur Verfiigung, den sie vor Ak- 
tivierung der Bildschirmschoner-instanz 76 hatte, der gesamte 
Anwendungs-Kontext bleibt also erhalten. Dies schlieSt den 
Status der laufenden Anwendungen, z.B. welche Fenster geoff- 
net sind und welche Anwendungs -Module geladen sind, ebenso 
wie die aktuell angezeigten sensiblen Daten ein und deren 
temporaren Bearbeitungsstatus . Auch temporSre Anderungen der 
Daten, die noch nicht durch die Datenverarbeitungseinrichtung 
gespeichert wurde, stehen wie vorher zur Verfiigung und konnen 
25 gespeichert oder zur weiteren Verarbeitung genutzt werden 

Hat jedoch ein Nutzerwechsel stattgefunden und stellt sich 
durch die Authentif izierung heraus, dass der neue Nutzer ge- 
geniiber dem vorhergehenden Nutzer eingeschrankte Zugriffs- 

30 rechte hat, so wird die Benutzeroberf lache 81 je nach Umfang 
und Art der EinschrSnkung inhaltlich reduziert oder vollig 
neutral gemacht, der Anwendungs-Kontext bleibt also nur ein- 
geschrankt erhalten. Hat der neue Nutzer z.B. keine Berechti- 
gving, auf die zuvor angezeigten Daten zuzugreifen, so werden 

35 diese aus der Benutzeroberf ISche 81 entfernt und sind auch 
durch die Anwendungs -Programme 71,73 nicht mehr zugSnglich. 
Hat der neue Nutzer z.B. nur Berechtigung zur Einsichtnahme 
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und nicht zur Veranderung von Daten, so warden evt . gesperrte 
Datenveranderungsmodule der Anwendungs- Programme 71,73 aus 
der Benutzeroberflache 81 entfernt, oder reine Datenverarbei- 
tungsanwendungen geschlossen. 

Hat der neue Nutzer gegeniiber dem vorhergehenden erweiterte 
Rechte, so kann je nach vorgebbarer Einstellung entweder der 
vorherige Anwendungs -Kon text, also Benutzeroberflache 81 samt 
aktuellen Daten, vollstandig wieder hergestellt werden oder 
ein beliebiger anderer Zustand, z.B. ein erweiterter Umfang 
an sensiblen Daten oder Funktionsmodulen der Anwendungs- 
Programme 71,73 verfiigbar gemacht werden. 

Die Nutzerwechsel-Instanz 77 wird zum einen in Abhangigkeit 
von der Aktivierung der Bildschirmschoner-Instanz 76 aktiv, 
zu dessen Deaktivierung eine erneute Authentif izierung des 
Nutzers erforderlich ist. Zum anderen kann die Nutzerwechsel- 
Instanz 76 auch durch den Nutzer aktiviert werden. Die Akti- 
vierung erfolgt z.B. dann, wenn der Nutzer sich von der Ein- 
richtung durch eine entsprechende Eingabe abmeldet. Auf die 
Abmeldung hin werden samtliche aktuell angezeigten Daten aus 
der Benutzeroberflache 81 und aus den Anwendungs -Programmen 
71,73 entfernt, wobei samtliche temporaren Inf ormationen wie 
vorlaufige Anderungen der Daten oder der aktuelle Status der 
Anwendungs -Programme 71,73 ab sofort nicht mehr zur Verfiigung 
stehen. Je nach vorgebbarer Einstellung konnen temporare Da- 
ten entweder vollstandig verworfen oder automatisch gespei- 
chert werden. Die laufende Anwendungs -Programme 71,73 wird 
dadurch in einen neutralen Ausgangszustand zuruckversetzt , in 
dem der folgende Nutzer seine Arbeit beginnen kann. 

Durch eine entsprechende Eingabe des Nutzers kann die Nutzer- 
wechselinstanz 77 jedoch auch veranlassen, dass der aktuelle 
Nutzer abgemeldet wird, jedoch samtliche temporaren Daten 
weiterhin auf der Benutzeroberflache 81 zur Verfiigung stehen. 
Diese Moglichkeit ist vor allem dann von Bedeutung, wenn der 
folgende Nutzer mit den aktuell angezeigten Daten im gegen- 



200219500 



12 

wartigen Status der Anwendungs-Progranune 71,73 weiterarbeiten 
soil. Durch einen derartigen Wechsel des Nutzers bleibt die 
Autorisierung von Zugrif f srechten erhalten, wahrend die Iden- 
titat des Nutzers wechselt. Die jeweils aktuelle Nutzer- 
Identitat steht dann zur vollstandigen Protokollierung aller 
laufenden Nutzeraktionen und Zugrif fe zur Verfvigung, 

Stent die Nutzerwechsel-Instanz 77 bei der Neu-Authentif i- 
zierung des Nutzers fest, dass dieser geringere Rechte be- 
sitzt als der vorhergehende Nutzer, so dass temporare Daten 
auf der Benutzeroberf ISche 81 nicht mehr dargestellt werden 
durften und verloren gehen wiirden, so kann an den Nutzer eine 
entsprechende Warnmeldung ausgegeben werden, z.B. in einem 
entsprechenden Hinweis-Fenster auf der Benutzeroberf lache 81. 
Dadurch besteht fur den vorhergehenden Nutzer die Moglich- 
keit, durch eigene Anmeldung an der Einrichtung den vorheri- 
gen, temporaren Status der Daten und Programm-Sichten wieder 
herzustellen und notigenfalls in der Einrichtung zu spei- 
chern. Falls dies nicht gewunscht wird, so kann durch Besta- 
tigung der Warnmeldung ein neuer Anwendimgs-Status mit vereui- 
derter Benutzeroberf lache 81 und unter Inkaufnahme von Ver- 
lusten temporarer Daten erzeugt werden. 

An der in FIG 1 gewahlten zeichnerischen Darstellung wird 
sichtbar, dass die Authentif izierungs-Instanz 75 samt Benut- 
zeroberf lache 81 auf die Anwendungs- Programme 71,73 sowie das 
laufende Betriebssystem 79 aufsetzt. Dies ist fiir die Erfin- 
dung von grofier Bedeutung, da die Zugrif fskontrolle auf einer 
Ebene stattfindet, die oberhalb der Betriebssystem-Ebene 79 
und der Anwendungs -Programm- Ebene 71,73 angesiedelt ist. Da- 
her k5nnen Anderungen der Nutzer-Autorisierung und 
-Identifizierung vorgenommen werden, ohne dazu laufende An- 
wendungs -Programme 71,73 Oder dass Betriebssystem 79 neu 
starten zu miissen. Dies beschleunigt die Neu-Authentif i- 
zierung bei Nutzerwechsel erheblich. 
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Die Moglichkeit zum schnellen Nutzerwechsel macht das Verfah- 
ren an Arbeitsplatzen praktikabel, an denen unter grofiem 
Zeitdruck gearbeitet werden muss, z.B. in der Medizin oder 
Notfall-Medizin. Infolge dessen steht an solchen Arbeitsplat- 
zen durch Verwendung des Verfahrens die Moglichkeit des lau- 
fenden, vollstandigen Protokollierung aller Nutzeraktionen 
zur Verfiigung. Eine derartige Protokollierung ist insbesonde- 
re durch den Datenschutz im Gesundheitswesen zwingend vorge- 
schrieben. Ein weiterer Vorteil besteht darin, dass Arbeits- 
platze, die durch einen Bildschirmschoner geschutzt werden, 
nicht mehr dadurch blockiert werden konnen, dass das Bild- 
schirmschoner-Passwort des vorherigen Nutzers oder das gene- 
relle Bildschirmschoner-Passwort nicht bekannt ist. Statt 
dessen erfolgt die Deaktivierung der Bildschirmschoner- 
Instanz 7 6 durch eine Neu-Authentif izierung des Nutzers, der 
dadurch seine eigenen Identif ikations-Daten eingeben muss. 

In FIG 2 sind die Schritte des Verfahrens als Flussdiagramm 
dargestellt. In Schritt 1 erfolgt die Anmeldung am Betriebs- 
system, das in Schritt 3 in einer von der Anmeldung abhangi- 
gen Betriebssystem-Konf iguration arbeitet. Die Zugrif f srechte 
bei Anmeldungen am Betriebssystem sind so beschaffen, dass 
die Kontrolle aller Zugriffe durch die Authentif izierungs- 
Instanz 7 5 gewahrleistet werden kann. Eine Anmeldung am Be- 
triebssystem 79 mit umfassenden Datenzugrif f srechten bleibt 
dabei Systemadministratoren vorbehalten, wahrend Anwendungs- 
nutzer nur Zugriff liber die Authentif izierungs-Instanz 75 er- 
halten. 

In Schritt 5 wird das T^wendungs-Programm 71,73 gestartet. Da 
bereits die Nutzung des Anwendungs-Programms 71,73 der Ein- 
schrankung von Zugrif f srechten unterliegen kann, wird unmit- 
telbar nach dem Starten des Anwendungs-Programms 71,73 oder 
der Anwendungs- Programme 71,73 in Schritt 7 die Eingabe eines 
Nutzer-Logins gefordert. Die Eingabe kann, wie oben beschrie- 
ben, durch manuelle Eingabe von Daten oder Messungen biomet- 
rischer oder sonstiger Inf ormationen erfolgen. Sie kann zum 
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Beispiel liber ein Login-Fenster ahnlich dem bei der Betriebs- 
system-Anmeldung auf der Benutzeroberf lache 81 erfolgen oder 
durch ein Hinweis-Fenster auf der Benutzeroberf lache 81 vom 
Nutzer angefordert werden. 

Kann bereits das Nutzer-Login nicht identif iziert werden, so 
wird die Datenverarbeitungseinrichtung im folgenden Schritt 
11 fur weitere Eingaben gesperrt . Andernfalls wird in Schritt 
9 ein Nutzer-Passwort erfragt, wobei bei Verwendung von bio- 
metrischen Daten oder Chipkarten die Schritte 7 und 9 zusam- 
menf alien. Kann das Nutzer-Passwort in Schritt 9 nicht veri- 
fiziert werden, erfolgt ebenfalls im Schritt 11 die Sperrung 
samtlicher Zugriffe. Die Sperrung der Zugriffe in Schritt 11 
kann derart erfolgen, dass weitere Zugrif f smoglichkeiten nur 
fur Systemadministratoren bestehen oder dass das System he- 
runtergefahren wird, um samtliche Manipulationen zu verhin- 
dern. Die Sperrung kann jedoch auch lediglich darin bestehen, 
dass die Login- und Passwort-Prozedur erneut gestartet wird. 

Konnen Login und Passwort erfolgreich verifiziert werden, 
wird die Identitat des Nutzers festgelegt und in Schritt 13 
erfolgt die Festlegung von Zugrif fsrechten in der Einrich- 
tung. Dies schlielSt die Rechte zur Verwendung von Anwendungs- 
Programmen 71,73 sowie Hardware 83 und den Zugrif f auf sen- 
sible Daten 85 ein. 

Im folgenden Schritt 15 werden die zugewiesenen Rechte dar- 
aufhin uberpriift, ob ihr Umfang gegeniiber den vor der Anmel- 
dung des Nutzers herrschenden Rechten verandert ist. 

Hat sich ein neuer Nutzer mit Rechten eines geringeren Um- 
fangs als der vorherige Nutzer angemeldet, so werden in 
Schritt 17 die Datenzugriff smoglichkeiten eingeschrankt und 
im folgenden Schritt 19 der verfugbare Umfang an Anwendungs- 
Programmen 71,73 bzw. Anwendungsmodulert ebenfalls reduziert. 
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Haben sich die Rechte in ihrem Umfang nicht verandert, z,B. 
well sich derselbe Nutzer wie zuvor anmeldet oder weil sich 
ein neuer Nutzer derselben Autorisierungsklasse oder -Rolle 
anmeldet, so werden in Schritt 21 die Datenzugrif f srechte 
wieder hergestellt und in Schritt 23 der Funktionsumf ang der 
Anwendungs- Programme 71,73, wodurch der vorherige Anwendungs- 
Kontext wieder hergestellt wird. 

Hat sich der Umfang der Zugriff srechte vergroSert, das z.B. 
der Fall sein kann, wenn zuvor kein Nutzer angemeldet war, so 
werden in Schritt 25 die Datenzugrif f srechte erweitert und in 
Schritt 27 ein erweiterter Funktionsumf ang der Anwendungs- 
Programme 71,73 freigegeben. 

Auf Basis der zugewiesenen Rechte wird in Schritt 29 die Be- 
nutzeroberf lache 81 aufgebaut und auf einem Sichtgerat, z.B. 
einem Computer-Bildschirm, dargestellt, Dabei werden nur Da- 
ten dargestellt, zu deren Einsichtnahme der angemeldete Nut- 
zer berechtigt ist, und nur Funktionsmodule der Anwendungs- 
Programme 71,73 verfugbar gemacht, die der angemeldete Nutzer 
benutzen darf . Hat der Nutzer z.B. keine Berechtigung zur 
Veranderung von Daten, so werden Module der Anwendungs- 
Prograrame 71,73 zur Veranderung von Daten deaktiviert. 

Im folgenden Schritt 31 arbeitet der Nutzer mit dem jeweili- 
gen Anwendungs-Programm 71,73, wobei samtliche Aktionen und 
Datenzugrif fe in Schritt 33 unter Angabe der aktuell festge- 
legten Identitat protokolliert werden, dass die nachtragliche 
Rekonstruktion samtlicher Nutzeraktivitaten jederzeit moglich 
ist . 

Im folgenden Schritt 35 hat der Nutzer die Moglichkeit, aktu- 
elle Daten oder den aktuellen Status der Anwendungs- Programme 
71,73 zu speichern, 

Im folgenden Schritt 37 besteht die Moglichkeit, einen Nut- 
zerwechsel zu initiieren. Schritt 37 kann z.B. durch eine 
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entsprechende Nutzer-Eingabe ausgelost werden. Beim Nutzer- 
wechsel wird der gegenwartige Status der Benutzeroberf lache 
81 beibehalten, sozusagen eingefroren, und die Neu-Authenti- 
fizierung eines neuen Nutzers im zuvor beschriebenen Schritt 
7 gestartet. Es wird also ein Neu-Beginn des Verfahrens bei 
Schritt 7 mit der Moglichkeit, den Anwendungs-Kontext zu er- 
halten, ausgelost . 

Andernfalls besteht in Schritt 39 die Moglichkeit fiir den 
Nutzer, sich von dem Anwendungs-Programm 71,73 abzumelden. In 
diesem Fall wird im folgenden Schritt 41 die Benutzeroberf la- 
che 81 geloscht. Dabei werden samtliche angezeigten Daten 85 
entfernt und das Anwendungs-Programm 71,73 in einen neutralen 
Status versetzt. AnschlielSend kann sich ein neuer Benutzer im 
zuvor beschriebenen Schritt 7 anmelden. 

Andernfalls besteht in Schritt 43 die Moglichkeit, das Anwen- 
dungs-Programm 71,73 zu beenden. In diesem Fall wird im fol- 
genden Schritt 45 die Benutzeroberf lache 81 in einen neutra- 
len Zustand gebracht, in dem inhaltlich keine Daten 85 ange- 
zeigt werden, im folgenden Schritt 47 werden samtliche tempo- 
raren Daten geloscht und im abschlielSenden Schritt 49 das An- 
wendungs-Programm 71,73 beendet. Nach Beendigung des Anwen- 
dungs-Programms 71,73 lauft lediglich das Betriebssystem 79 
in Schritt 3, wobei die Zugrif f srechte aufgrund des Anfangs 
in Schritt 1 erfolgten log-in' s am Betriebssystem so einge- 
schrankt sind, dass keinerlei Manipulationen moglich sind. 

Bei Eintreten bestimmter Bedingungen, z.B. bei Zeitablauf, 
kann in Schritt 51 die Bildschirmschoner-Instanz 76 aktiviert 
werden, die einem herkommlichen Bildschirmschoner ahnlich ar- 
beitet. Dies fiihrt dazu, dass im folgenden Schritt 53 die Be- 
nutzeroberf lache 83 in einen inhaltlich neutralen Zustand ge- 
bracht wird, so dass keinerlei Daten 85 angezeigt werden. Der 
vorherige Zustand der Daten und der Benutzeroberf lache 81 
wird jedoch zwischengespeichert , um ggf . nach Deaktivierung 
des Bildschirmschoner-Instanz wieder zur Verfiigung zu stehen. 
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Aus diesem Zustand heraus kann die Bildschirmschoner-Instanz 
76 nur dadurch deaktiviert warden, dass die zuvor beschriebe- 
ne Anmeldungsprozedur in Schritt 7 erneut auf genommen wird. 
Im Gegensatz dazu vmrde ein herkortimlicher Bildschirmschoner 
durch ein Bildschirmschoner-Passwort deaktiviert werden, das 
generell oder vom vorhergehenden Nutzer vorgegeben ist und 
evtl. nicht jedem Nutzer bekannt ware. 

Das in FIG 2 dargestellte Flussdiagramm macht deutlich, dass 
die Anmeldiing von Benutzern und der Wechsel zwischen Nutzern 
ohne einen Neustart der Anwendungs-Progranune 71,73 oder des 
Betriebssystems 79 erfolgt. Authentif izierung und Neu- 
Authentifizieriing erfolgen stattdessen durch die Authentifi- 
zierungs-Instanz 75 bei laufendem Anwendungs-Programm 71,73 
und Betriebssystem 79 und erfordem daher ein Minimum an 
Zeit. Gleichzeitig werden Zugriffe gemaS der Datenschutzbe- 
stimmungen kontrolliert und laufend protokolliert . Aufgrund 
seiner hohen Geschwindigkeit ist das Verfahren auch an zeit- 
kritischen Arbeitsplatzen einsetzbar, so dass auch dort eine 
vollstandige Protokollierung unter Angaben jeweils aktueller 
Daten zur Nutzeridentitat moglich wird. 

Das erfundene Verfahren kann auf einer Datenverarbeitungsein- 
richtung ablaufen. Es kann als Computer-Programm realisiert 
sein, das auf einer Datenverarbeitungseinrichtung ausgefiihrt 
werden kann, um das erfundene Verfahren darauf ablaufen zu 
lassen. Es kann als Programm auf einem Datentrager, z.B. ei- 
ner Diskette, einem Festplattenspeicher oder einem sonstigen 
Speichermedium, gespeichert sein, der in Wechselwirkung mit 
einer Datenverarbeitungseinrichtung treten kann, um das er- 
fundene Verfahren darauf ablaufen zu lassen. 
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Patentanspriiche 

1. Verfahren zum Anmelden eines Nutzers an einer Datenverar- 
beitungseinrichtung mit einem Betriebssystem (79) und einem 
Datenverarbeitungs-Programm (71, 73), wobei in einem ersten 
Schritt (7, 9) Daten zur Authentif izierung des Nutzers ermit- 
telt werden, in einem zweiten Schritt (13) in Abhangigkeit 
von den Authentif izierungs-Daten eine Identitat und ein 
Zugrif f srecht festgelegt werden, und in einem dritten Schritt 
(29) in Abhangigkeit von dem festgelegten Zugrif f srecht der 
Zugrif f auf das Datenverarbeitungs-Programm (71, 73) und/oder 
auf sensible Daten (85) freigegeben wird, 

dadurch g. ekennzeichnet, dass die 
Schritte unabhangig von einem Starten des Betriebssystems 
(79) Oder der Datenverarbeitungsanwendung (71, 73) sind. 

2. Verfahren nach Anspruch 1, wobei in Abhangigkeit von der 
Festlegung des Zugrif fsrechts eine Benutzeroberf lache (81) 
dargestellt wird, 

dadurch gekennzeichnet, dass durch 
einen Nutzerwechsel-Verf ahrensschritt (37) emeut mit dem 
ersten Schritt (7, 9) begonnen wird, und dass die Benutzer- 
oberf lache (81) bis zur erneuten Festlegung eines Zugrif fs- 
rechts (13) inhaltlich unverandert bleibt. 

3 . Verfahren nach Anspruch 2 , 

dadurch gekennzeichnet, dass die Be- 
nutzeroberf lache (81) in Abhangigkeit von der erneuten Fest- 
legung eines Zugrif frechts (13), das einen geringeren Umfang 
als das zuletzt festgelegte Zugrif frecht aufweist, inhaltlich 
reduziert wird (17, 19) . 

4 . Verfahren nach Anspruch 3 , 

dadurch gekennzeichnet, dass ein 
Warn-Hinweis auf die bevorstehende inhaltliche Reduzierung 
(17, 19) der Benutzeroberf lache (81) ausgegeben wird, und 
dass ein Nutzer Gelegenheit erhalt, das Verfahren vor der Re- 
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duzierung (17, 19) erneut mit dem ersten Schritt (7, 9) be- 
ginnen zu lassen. 

5. Verfahren nach Anspruch 1 bei dem in Abhangigkeit von der 
Festlegung eines Zugrif f srechts eine Benutzeroberf lache (81) 
dargestellt wird, 

dadurch gekennzeichnet, dass durch 
einen Nutzerabmeldungs-Verf ahrensschritt (3 9) die Benutzer- 
oberflache (81) inhaltlich geloscht wird (41) und erneut mit 
dem ersten Schritt (7, 9) begonnen wird. 

6. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass samtli- 
che Zugrif fe auf das Datenverarbeitungs-Programm (71, 73) und 
samtliche Zugrif fe auf sensible Daten (85) unter Angabe der 
jeweils festgelegten Identitat protokolliert werden (33) . 

7. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass durch 
einen Bildschirmschoner-Schritt (51) bei Eintreten vorgegebe- 
ner Bedingungen, z.B. Zeitablauf, die Benutzeroberf lache (81) 
fur einen Nutzer unkenntlich gemacht wird (53) und erneut mir 
dem ersten Schritt (7, 9) begonnen wird. 

8. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass in Ab- 
hangigkeit von einem f ehlgeschlagenen Versuch der Authentifi- 
zierung eines Nutzers im ersten Schritt (7, 9) samtliche 
Zugrif fsrechte gesperrt werden (11) . 

9 . Computer-Programm 

dadurch gekennzeichnet, dass es auf 
einer Datenverarbeitungseinrichtung ausfiihrbar ist, um ein 
Verfahren gemSS einem der Anspruche 1 bis 8 ablaufen zu las- 
sen. 
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10. Datentrager 

dadurch gekennzeichnet, dass darauf 
ein Programm gespeichert ist, das in Wechselwirkung mit einer 
Datenverarbeitungseinrichtung treten kann, urn ein Verfahren 
gemaS einem der Anspriiche 1 bis 8 ablaufen zu lassen. 
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Zusammenf assung 

Verfahren zum Anmelden von Nutzem an Datenverarbeitungsein- 
richtungen 

Die Erfindung betrifft ein Verfahren zum Anmelden eines Nut- 
zers an einer Datenverarbei tungseinrichtung mit einem Be- 
triebssystem (79) und einem Datenverarbei tungs-Programm (71, 
73). In einem ersten Schritt (7, 9) werden Daten zur Authen- 
tifizierung des Nutzers ermittelt, in einem zweiten Schritt 
(13) in Abhangigkeit von den Authentif izierungs-Daten eine 
Identitat und ein Zugrif f srecht festgelegt, und in einem 
dritten Schritt (29) in Abhangigkeit von dem festgelegten 
Zugriffsrecht der Zugriff auf das Datenverarbei tungs-Programm 
(71, 73) und/oder auf sensible Daten (85) freigegeben. GemaS 
der Erfindung sind die Schritte unabhangig von einem Starten 
des Betriebssystems (79) oder der Datenverarbei tungsanwendung 
(71, 73) . In einer besonders vorteilhaf ten Ausgestaltung der 
Erfindung kann ein Nutzerwechsel durch Abmelden des Nutzers 
und Anmelden eines neuen Nutzers stattfinden, bei dem der An- 
wendungs-Kontext, also Benutzeroberf lache (81) und aktuell 
bearbeitete Daten (85) erhalten bleibt . 
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